Zum Inhalt springen Weiter zur Suche
Testversion
Blog

KI-gestützte Bot-Angriffe sind bereits Realität. WAPP ist die Antwort darauf.

A10 Blog / KICybersicherheit / KI-basierte Bot-Angriffe sind da. WAPP ist die Antwort.
Gary Wang
Gary Wang
|
März 16, 2026

Fast 50 Prozent des gesamten Internetverkehrs stammen mittlerweile von Bots. Nicht alles davon ist schädlich – Webcrawler, die das Internet indexieren, oder Verfügbarkeitsmonitore, die APIs, Server und Websites überprüfen, dienen legitimen Zwecken –, doch diese Statistik verdeutlicht eine neue Realität, der wir uns stellen müssen. Fast die Hälfte aller Zugriffe auf Ihre Anwendungen stammt nicht von Menschen.

Mit dem Aufkommen KI-basierter Bots besteht die Herausforderung nicht mehr nur darin, Bots zu blockieren. Es geht vielmehr darum, herauszufinden, welche automatisierten Vorgänge legitim sind, welche böswillig sind und welche aktiv versuchen, legitim zu wirken. Wenn Unternehmen Schwierigkeiten haben, diesen Unterschied effektiv zu erkennen, können die Kosten enorm sein. Allein im Einzelhandel verursachen durch Betrug entgangene Einnahmen fast 300 Prozent höhere Kosten für Prävention und Schadensbehebung. Diese finanziellen Kosten kommen zu den betrieblichen Problemen, dem Verlust des Kundenvertrauens und dem irreparablen Imageschaden hinzu. Eine Lösung, die Anwendungen angemessen schützen kann, muss kontextbezogen arbeiten und Informationen als Plattform miteinander verknüpfen können.

Warum es schwieriger denn je ist, Bots zu stoppen

Wären Bot-Angriffe offensichtlich, wie etwa Brute-Force-Anmeldeversuche oder Flood-Angriffe, wäre das Problem viel einfacher zu lösen. Doch moderne Bot-Angriffe verhalten sich nicht so.

Die heutigen Bot-Angriffe nutzen zunehmend KI-gestützte Techniken, die darauf ausgelegt sind, legitime Nutzer nachzuahmen:

  • Menschliche Navigationsmuster: Interaktion mit einer Webseite so, wie es ein Mensch tun würde
  • Unauffällige Transaktionsraten: Transaktionen in einem Umfang durchführen, der nicht auffällt
  • Manipulierte API-Workflows: KI entdeckt Schwachstellen in der Geschäftslogik einer API und kann einen gültigen Workflow generieren, der Angreifern Zugriff auf sensible Informationen verschafft

All diesen Beispielen ist gemeinsam, dass sie die Geschäftslogik missbrauchen. Diese Bots verschleiern ihre böswilligen Absichten, indem sie sich zwar in böswilliger Weise verhalten, dabei aber technisch gesehen die Regeln einhalten.

Nehmen wir zum Beispiel an, ich bin Lehrer und versuche, meinen Unterrichtsplan durchzuarbeiten. Ich habe Schüler, die versuchen, mich daran zu hindern, pünktlich fertig zu werden. Wenn Schüler offensichtlich Lärm machen oder Fragen stellen, die überhaupt nichts mit dem Thema zu tun haben, ist mir klar, dass ich diese Schüler ignorieren oder sie einfach aus dem Unterricht schicken sollte. Ihre Ablenkungsversuche sind offensichtlich. Was aber, wenn es einen Schüler gibt, der absichtlich scheinbar tiefgründige Fragen stellt, dessen Ziel es in Wirklichkeit jedoch ist, den Ablauf des Unterrichtsplans zu behindern? Wie könnte ich unterscheiden, ob der Schüler wirklich neugierig ist oder nur versucht, mich davon abzulenken, den Unterrichtsplan zu Ende zu bringen?

Die Antwort in einem Wort: Kontext. Zum Kontext können das Verhalten des Schülers, die Vorgeschichte des Verhaltens, der Inhalt der gestellten Frage usw. gehören. Ähnlich verhält es sich im Bereich der Sicherheit. Wir versuchen, zwischen legitimem automatisiertem Datenverkehr und solchen mit böswilligen Absichten zu unterscheiden.

Viele Unternehmen versuchen, dieses Problem durch den Kauf weiterer Einzellösungen zu lösen: eine WAF für Angriffe auf Anwendungsebene, ein API-Sicherheitstool für APIs, einen Bot-Manager für Bots und eine WAF oder eine L7-DDoS-Lösung für L7-DDoS-Angriffe – alles nachträglich aneinandergereiht. Das Ergebnis sind höhere Kosten, größere Komplexität im Betrieb, doppelter Aufwand und Warnmeldungen, die weiterhin manuell überprüft werden müssen. Stattdessen ist ein anderer Ansatz erforderlich, bei dem ein einheitliches System zum Schutz des Endziels (der Anwendungen) eingesetzt wird.

Der Ansatz von ThreatX: Schutz der Anwendung, nicht nur des Bot-Vektors

Die ThreatX-Entscheidungsengine fragt nicht zunächst: „Handelt es sich bei diesem Datenverkehr um einen Bot?“, sondern: „Welche Transaktionen und Entitäten zielen auf die Anwendung ab und zu welchem Zweck?“

ThreatX ist direkt in den Datenfluss eingebunden und überwacht Entitäten und Transaktionen, die mit Ihrem Anwendungsökosystem interagieren. Wir stoppen Angriffe und Angreifer in Echtzeit, einschließlich Bots, unabhängig davon, ob diese KI-gesteuert sind oder nicht. Unsere Entscheidungsengine entwickelt sich ständig weiter, lernt dazu und identifiziert Verhaltensmuster, die als gefährlich eingestuft werden.

ThreatX nutzt einen adaptiven Risikowert, der von Hacker Mind generiert wird und sich aus folgenden Komponenten zusammensetzt:

  • Bewährte Algorithmen für maschinelles Lernen
  • Transaktionsbasierte Nachverfolgung (d. h. das Werfen der Schneebälle)
  • Entitätsbasierte Verfolgung (d. h. der Schneeballwerfer)
  • Kreuzvektorkorrelation mittels Hacker Mind

Frühe Anzeichen – subtile, botähnliche Verhaltensweisen, ungewöhnliche API-Nutzung, seltsame Authentifizierungsabläufe – erhöhen die Risikobewertung einer Entität. Wenn sich das Verhalten verschärft oder verschiedene Angriffsvektoren überschneidet (beispielsweise API-Missbrauch, gefolgt von L7-DDoS-ähnlichem Verhalten), korreliert ThreatX diese Aktivitäten, anstatt sie als isolierte Ereignisse zu behandeln.

Das Ergebnis sind verallgemeinerte Angreifer- und Angriffsprofile, die auch dann wirksam bleiben, wenn Bots versuchen, sich als legitime Nutzer zu tarnen. Der Schwerpunkt liegt darauf, gefährliche Akteure oder Verhaltensweisen zu identifizieren und sie direkt zu stoppen.

Sehen Sie sich an, wie Jamison Utter „Hacker Mind“ erklärt.

WAPP: Das entscheidende Unterscheidungsmerkmal

Hier kommt der Ansatz der Web Application Protection Platform (WAPP) als entscheidendes Unterscheidungsmerkmal zum Tragen.

Die meisten Anbieter verkaufen nach dem „Best-of-Breed“-Prinzip Anwendungslösungen:

  • Bot-Schutz
  • API-Schutz
  • WAF
  • L7-DDoS

Doch unabhängig vom Ansatz zielt jedes dieser Tools letztendlich darauf ab, dasselbe zu schützen: die Anwendung.

ThreatX bietet keinen Bot-Schutz als Zusatzfunktion an. Der Bot-Schutz ist eine integrierte Funktion einer einheitlichen Plattform, die darauf ausgelegt ist, Anwendungen ganzheitlich zu schützen. Da die Schutzmaßnahmen von Grund auf integriert sind, verfügt ThreatX über Kontextinformationen, auf die zusammengesetzte Lösungen keinen Zugriff haben.

Das ist der Unterschied zwischen einer Ansammlung talentierter Einzelpersonen und einem eingespielten Team. Integrierte Verteidigungsstrategien steigern die Effektivität. Isolierte Strategien konkurrieren um Aufmerksamkeit und sorgen für Unruhe.

Das Praxisszenario von ThreatX

In einer Kundenumgebung waren bereits mehrere Produkte im Einsatz: ein CDN, eine WAF und ein API-Schutz. Bots stellten dennoch ein großes Problem dar. Der Kunde initiierte einen Proof-of-Concept für eine zusätzliche Bot-Lösung. Gleichzeitig evaluierte er ThreatX von A10 Networks. Architektonisch wurde ThreatX hinter dem bestehenden Stack bereitgestellt – vor den Anwendungen, aber hinter den anderen Sicherheitstools. In dieser Position war ThreatX in der Lage, bösartige Bot-Aktivitäten, die vier andere Produkte passiert hatten, eindeutig zu identifizieren und zu stoppen. Das allein reichte dem Kunden aus, um den Bot-POC zu beenden. Der Kunde entfernte die anderen Punktlösungen und überließ es ThreatX, mehrere Angriffsvektoren eigenständig und ganzheitlich als WAPP zu schützen. Wie erwartet verzeichnete ThreatX mehr Datenverkehr und mehr Angriffsversuche, doch die Tiefe und Raffinesse der aufgedeckten Angriffe, die durch die ganzheitliche „Hacker Mind“-Entscheidungsengine sichtbar gemacht wurden, waren unerwartet.

Der menschliche Faktor: Warum das ThreatX SOC so wichtig ist

ThreatX ist nicht nur eine Software. Jeder Einsatz umfasst ein von Experten geleitetes SOC-Team, das im Auftrag der Kunden kontinuierlich überwacht, optimiert und reagiert.

Dadurch entsteht ein dreifacher Kontrollmechanismus:

  1. ThreatX erstellt eine Liste mit Warnmeldungen
  2. ThreatX überprüft seine Arbeit noch einmal
  3. Die Liste der Warnmeldungen wird von einem Mitarbeiter des ThreatX-SOC-Teams überprüft
  4. Diese endgültige Liste der Warnmeldungen wird anschließend an das SOC-Team des Kunden gesendet

Das Ergebnis sind weniger Fehlalarme, schnellere Reaktionen und eine deutlich geringere Arbeitsbelastung für die ohnehin schon überlasteten Sicherheitsteams.

ThreatX – eine ergänzende Lösung, die Ihre Anwendungen schützt, Punkt.

ThreatX wird inline eingesetzt und schützt das gesamte Anwendungsökosystem vor Angriffen und Angreifern. Bots entwickeln sich heute zu einem der häufigsten und schädlichsten Angriffsvektoren, und ThreatX schützt als einheitliche Plattform vor ihnen. In einer Welt, in der Bots immer intelligenter und anpassungsfähiger werden und sich immer schwerer von legitimen Benutzern unterscheiden lassen, erfordert der Schutz von Anwendungen mehr als nur das Hinzufügen eines weiteren Tools. Er erfordert Kontext, Korrelation und eine Plattform. Diese Plattform ist WAPP, und der Schutz vor Bots ist stärker, wenn er in das System integriert ist und nicht nur als Anhängsel daran angebracht wird.

Teilen Sie diesen Beitrag:

Auf LinkedIn teilen
Kategorien:
KI Cyber-Sicherheit
Vorheriger Beitrag
Nächster Beitrag
Gary Wang
Gary Wang
|
März 16, 2026

Verwandte Ressourcen

  1. Aus WAPP einen FUS machen...?
  2. Warum Bot-Schutz wichtig ist
  3. Das in Virginia ansässige Hightech-Service-Unternehmen stellt die Bereitstellung von Diensten und die Leistung von Anwendungen sicher